<ins id='2i926'></ins>

<dl id='2i926'></dl>

<code id='2i926'><strong id='2i926'></strong></code>

      <acronym id='2i926'><em id='2i926'></em><td id='2i926'><div id='2i926'></div></td></acronym><address id='2i926'><big id='2i926'><big id='2i926'></big><legend id='2i926'></legend></big></address>

    1. <i id='2i926'></i>

      <span id='2i926'></span>
          <i id='2i926'><div id='2i926'><ins id='2i926'></ins></div></i>

          <fieldset id='2i926'></fieldset>
        1. <tr id='2i926'><strong id='2i926'></strong><small id='2i926'></small><button id='2i926'></button><li id='2i926'><noscript id='2i926'><big id='2i926'></big><dt id='2i926'></dt></noscript></li></tr><ol id='2i926'><table id='2i926'><blockquote id='2i926'><tbody id='2i926'></tbody></blockquote></table></ol><u id='2i926'></u><kbd id='2i926'><kbd id='2i926'></kbd></kbd>

          Sybase ASE for Linux安装过程及安全配置

          • 时间:
          • 浏览:13
          • 来源:124软件资讯网

            这篇论坛文章详细的先容了Sybase ASE for Linux的安装历程及宁静设置要领  ,更多内容请参考下文:

            在种种操作系统中  ,Linux已经盛行  。因此  ,越来越多的主流数据库厂商将它们的产物移植到Linux操作系统平台  ,例如Sybase、Oracle和IBM等  。此外 ,可以使用的自由软件越来越多 。自由软件库中已经包罗了Sybase ASE for Linux、Oracle for Linux、Informix for Linux等数据库软件以及其他种种软件  。

            在上述几种Linux平台上的数据库产物中  ,Sybase ASE的性能很好  ,紧凑的法式分发包里包罗了所有文档、数据库备份和监视等工具  ,同时它对系统的要求不高(系统设置为32MB内存  ,包罗文档的所有安装需要200MB硬盘  ,否则需要120MB硬盘)  。它的安装、设置历程与其他产物相比也很简朴  。这些优势  ,连同Sybase数据库产物原来的用户基础 ,使得它成为Linux平台上精彩的数据库软件  。

            可是 ,Sybase ASE在正常安装完成后  ,数据库超级用户的账号没有设置口令 。这样  ,Internet上每一个知道服务器端口号的用户或者本机上的所有可登任命户都可以以超级用户身份对数据库随意操作 。这应该说是一个很是大的宁静毛病  。下面将逐步先容Sybase ASE for Linux 的安装历程  ,以及安装完成后需要接纳的宁静设置和较为宁静的系统  。

            一、Sybase ASE的安装

            首先下载Sybase ASE for Linux软件包  ,网上可以比力容易找到RPM花样的二进制刊行包  ,包罗sybase-ase-11.0.3.3-1.i386.rpm(主法式包)、sybase-doc-11.0.3.3-1.i386.rpm(文档包)  。RPM是Redhat公司的软件保证理法式 ,使用它可以很是利便地安装和卸载法式包  ,并保持它们之间的依赖关系  。

            然后  ,以超级用户的身份键入下令:

            #rpm -i sybase-ase-11.0.3.3-1.i386.rpm

            屏幕会显示Sybase公司的版权说明  ,键入“yes”表现赞成 。接下去安装法式会提醒将在系统中建立一个用户sybase和响应的组 ,并要求为该账号设置响应的口令  。Sybase数据库安装的缺省目录是/opt/sybase 。安装时要注重磁盘分区有足够的空间(大于200MB) 。

            下一步可以重新以sybase登录继续设置  ,也可以使用 #su - sybase 改变身份为sybase来继续对sybase举行安装  。屏幕上将会泛起:

            1.Release directory:/opt/Sybase

            2.Edit / View Interfaces File

            3.Configure a Server product

            4.Configure an Open Client/Server product

            Ctrl-a Accept and Continue, Ctrl-x Exit Screen, ? Help.

            Enter the number of your choice and press return:

            选择3来设置服务器  ,在该选项中将会一同设置服务器监听端口 。在下面每一个屏幕提醒下  ,数字表现详细选项  ,Ctrl-a表现已经设置完毕 ,举行下一步  ,Ctrl-x表现放弃适才的选择 ,退回上一步  ,下面省去同样的提醒  。选择3后  ,泛起以下提醒:

            Product Date InstalledDate Configured

            1.SQL Server11 Sep 1998 06:47

            2.Backup Server 11 Sep 1998 06:47

            首先选择1设置SQL服务器  ,泛起以下提醒:

            1.Configure a new SQL Server

            2.Configure an existing SQL Server

            3.Upgrade an existing SQL Server

            然后选择1来设置一个新的SQL服务器  。设置备份服务器可以在SQL服务器设置完成后再来  。由于是第一次安装  ,以是选择设置新的服务器  ,后面2个选项划分提供了重新设置或者升级原服务器的功效

            接下来的提醒要求选择服务器的名字 ,详细如下:

            ADD NEW SQL SERVER

            1.SQL Server name:SYBASE

            默以为SYBASE  。这与sybase的交互式会见工具isql的默认服务器名字是一致的  。

            完成上述设置后  ,泛起如下显示:

            SQL SERVER CONFIGURATION

            1.CONFIGURE SERVER'S INTERFACES FILE ENTRY Incomplete

            2.MASTER DEVICE CONFIGURATION Incomplete 3.SYBSYSTEMPROCS DATABASE CONFIGURATION Incomplete

            4.SET ERRORLOG LOCATION Incomplete 5.CONFIGURE DEFAULT BACKUP SERVER Incomplete

            6.CONFIGURE LANGUAGES Incomplete 7.CONFIGURE CHARACTER SETS Incomplete

            8.CONFIGURE SORT ORDER Incomplete 9.ACTIVATE AUDITING Incomplete

            以上关系到数据库的详细内容 ,包罗端口号、装备、语言和字符集等 。下面假定不改变默认名  ,直接按Ctrl-a接受 。

            第1项设置服务器端口  ,选择后泛起下面的提醒屏幕:

            SERVER INTERFACES FILE ENTRY SCREEN

            Server name:SYBASE

            1.Retry Count:0

            2.Retry Delay:0

            3.Add a new listener service

            选择增添一个监听端口  ,泛起下面的设置TCP端口的屏幕:

            EDIT TCP SERVICE

            1.Hostname/Address: localhost.localdomain

            2.Port:

            3.Name Alias:

            4.Delete this service from the interfaces entry

            其中的主机名在一样平常情形下由安装法式自动从情况中提取  ,通常不需要改动  。可是  ,若是用户设置的是远程服务器的话  ,此处应该修改为响应的服务器地址  。第二项的端口号用户可以自由选择 ,通常选择在1024以上  。同样  ,若是是设置远程服务器  ,端口号应该修改为准确的端口地址  。这2个参数会记载在/opt/sybase/interfaces文件中  ,也就是说在设置完成后  ,用户也可以手工修改该文件来重新改变连机端口的参数 。

            第2项设置数据库主装备  。数据库主装备可以是一个新的物理装备  ,也可以是磁盘中的一个文件 ,巨细可以凭据需要和存储装备的空间巨细调整 。

            后面各项的设置在通俗应用下  ,基本上不需要修改缺省值 。根据提醒继续做下去  ,依次划分是设置Sybase系统历程数据库、错误日志、缺省备份服务器、字符集、数据库排序和激活审计等  。其中的缺省备份服务器和激活审计设置对于数据库宁静较为主要  。

            在治理员希望对数据库举行备份时需要备份服务器功效  ,它的原理是在一个特定的端口监听备份申请(该端口号必须与前面数据库端口号区离开) ,将数据库的数据备份到指定的装备中去(例如“/tmp/sybase.mybackup.19990909”)  。选择该项后 ,泛起如下显示:

            SET THE SQL SERVER'S BACKUP SERVER

            1.SQL Server Backup Server name:SYB_BACKUP

            审计功效在缺省状态下并不打开 。若是治理员以为需要  ,则可以参照下面的屏幕建立一个单独的数据库来存储系统审计信息 。

            ACTIVATE AUDITING

            1.Install auditing:no

            2.sybsecurity database size (Meg):5

            3.sybsecurity logical device name:sybsecurity

            4.create new device for the sybsecurity database:no

            二、 安装后的宁静问题与响应的设置

            根据DoD52.00.28-STD信托盘算机系统评估尺度  ,即通常所说的桔皮书  ,Sybase ASE的设计尺度为C2级  ,它提供了4种宁静机制  ,划分是会见控制、认证控制、角色划分和数据库审计  。会见控制是指工具所有者可以对差别的登任命户赋予或者作废某些会见的权力  。认证控制是指保证只有被授权的用户才气登录进入系统  。角色的划分使得系统治理员可以将系统的一些特殊权力划分赋予某一个用户 ,使他们能够划分完成某些要害使命 。详细来说  ,Sybase数据库系统设定了3种主要角色:系统治理员(sa_role)、系统宁静员(sso_role)和系统操作员(oper_role)  。数据库审计系统可以对系统的登录、退出、数据库启动、远程历程挪用、角色的转变和对种种工具的会见等操作提供记载与审查  。

            数据库应用接纳客户机/服务器架构  ,服务器端在某一个端口监听网络毗连请求  。客户端申请毗连 ,输入正当的用户名和响应的口令  ,进入服务器  ,然后运行需要的下令  。这样  ,在数据库用户的设置治理方面若是泛起宁静毛病  ,势必会给系统和数据带来很是大的威胁  。可是  ,Sybase ASE在正常安装完成后 ,数据库超级用户的账号没有设置口令 。这样  ,Internet上每一个知道服务器端口号的用户或者本机上的所有可登任命户都可以以超级用户身份对数据库随意操作 。这应该说是一个很是大的宁静毛病  。下面  ,通过对角色的剖析 ,给出解决这一问题的要领 。

            1.三种角色的主要权力和使命

            (1) sa_role

            治理磁盘使用  ,改变系统种种运行参数  ,诊断系统泛起的种种问题  ,备份和恢复数据库  ,对其他用户赋予或者作废sa_role  ,建立用户数据库并为它们授予合适的属主  ,以及建设用户组等等  。

            (2) sso_role

            建立登录账号并初始化口令  ,更改其他所有账号的口令  ,对其他用户赋予或者作废sso_role以及oper_role ,设定口令时限以及治理审计系统等  。

            (3) oper_role

            备份和恢复种种数据库 。

            2.更改sa口令

            Sybase ASE在安装完成时在系统中建立了用户sa  ,它同时具有sa_role和sso_role两种角色  。此时的用户“sa”在服务器中具有无限的权力  ,相当于Unix系统中一个没有口令的root  。这样  ,任何蓄意的联网用户都可以完全控制该SQL服务器  。这不能不说是Sybase ASE的一个重大宁静毛病 。为此  ,强烈建议在完成下面的宁静设置之前请勿将服务器接入网络  。

            首先  ,使用Sybase提供的交互式会见工具isql毗连服务器  。键入以下下令:

            $/opt/sybase/bin/isql -Usa -P -Smysybase

            表现以用户sa、空口令毗连服务器mysybase  。更改sa的口令  ,

            >sp_password NULL,"NewPassWd"

            >go

            将原来的空口令(NULL)改为当前的“NewPassWd”  。这里的口令最少为6个字符长度  ,可以由任何可打印字符、字母和数字等组成  。

            3.关闭sa账号

            角色的划分可以说是Sybase数据库相对于通俗Unix系统在宁静体制方面的革新  。可是  ,各人知道  ,拥有无限权力的超级用户一方面是系统的掩护者  ,可是更多的时间是给系统的宁静带来了庞大的宁静威胁  。简朴来说  ,超级用户一个低级的误操作就可能毁掉整个服务器  。从攻击的角度来看  ,攻击者只要获得了超级用户的身份就讲明他已经彻底攻克了该系统 。而对于经由特权支解宁静加固的系统来说  ,攻击者必须将若干个特权用户所有破解  ,才气得以完全控制该系统  。可以说超级权力用户的存在是区分C级和B级宁静系统的一个主要标志 。

            在设置sa账号的口令以后  ,通过建立新用户  ,并区分sa的角色  ,关闭sa ,从而进一步增强服务器的宁静  。Sybasre提供了几个响应的下令sp_addlogin和sp_role等来完成上述操作  。

            >sp_addlogin sa_user,"Sa,PassWd"

            >sp_addlogin sso_user,"Sso,PassW"

            >sp_role "grant",sa_role,sa_user

            >sp_role "grant",sso_role,sso_user

            >sp_locklogin sa,"lock"

            上述下令建立了两个用户sa_user  ,sso_user ,而且划分设置了口令“Sa,PassW”和“Sso,Pass”  ,设置了角色sa_role和sso_role  ,然后关闭了账号sa